[KB2209] Conficker - Hur skyddar jag mig?

OBS:

Den här sidan har översatts av en dator. Klicka på engelska under Språk på den här sidan för att se originaltexten. Om du tycker att något är oklart, kontakta din lokala support.

Problem

Din risk att utsättas för hotet Win32/Conficker beror på en sårbarhet i Microsofts operativsystem (Microsoft släppte en patch för denna sårbarhet i oktober 2008). För att undvika infektioner orsakade av sårbarheter i Microsofts operativsystem bör du se till att din dator (och alla datorer i ditt nätverk) alltid är uppdaterad med den senaste Microsoft Windows-uppdateringen. Du kan hitta de senaste uppdateringarna på http://update.microsoft.com/.

För att skydda dig mot Conficker följer du steg-för-steg-instruktionerna i den här artikeln. Eller klicka på lämplig länk nedan för att hoppa till ett specifikt avsnitt:

Lösning

Förhindra infektion

A-Hämta Microsofts säkerhetsfixar
Om du inte vill hämta alla Windows-uppdateringar men vill vara säker på att du åtminstone är skyddad mot Win32/Conficker-hoten, hämta och installera korrigeringarna(KB958644, KB957097 och KB958687) i följande Microsoft Security Bulletins:
B - Inaktivera Autorun och Autoplay (Windows XP och Windows Vista)

Du kanske vill inaktivera funktionerna Autorun och Autoplay i ditt Windows-system för att förhindra att tillverkare av skadlig programvara missbrukar dessa säkerhetsbrister. USB-enheter och andra flyttbara media, som nås av Autorun/Autoplay-funktionerna varje gång (som standard) du ansluter dem till datorn, är de mest använda virusbärarna idag.

Microsoft Windows Autorun och Autoplay är funktioner som till en början var avsedda att förenkla körning av CD-innehåll genom att automatiskt:(i) köra filen Autorun .inf (och alla eventuella skadliga instruktioner som den innehåller) - Autorun-sårbarhet(ii) öppna ett popup-fönster med tillgängliga åtgärder (varav vissa kan vara fientliga triggers som tagits över från en skadlig Autorun .inf) - Autoplay-sårbarhet

Vissa termer kan skilja sig åt

Vissa termer som används i stegen nedan kan skilja sig något åt beroende på din webbläsare.

  1. Om du vill inaktivera Autorun och Autoplay högerklickar du på den här länken för att ladda ner filen DisableAutorun.reg och väljer Spara länk som...
  2. I fönstret Spara som ska du se till att:

    (i) rullgardinsmenyn Spara som typ är inställd på Alla filer eller Registreringsposter (*.reg) (eller liknande, beroende på din webbläsare)

    (ii) fältet Filnamn innehåller det exakta namnet på registerfilen (t.ex. DisableAutorun.reg)
  3. Klicka på Save (Spara). Bekräfta eventuella uppmaningar att spara registerfilen.
  4. Dubbelklicka på den sparade filen och bekräfta att du vill lägga till registerposten genom att klicka på Yes. Klicka på OK för att avsluta.
Varning

När du har importerat den nedladdade filen till Windows-registret kommer alla Autorun.inf-filer att ignoreras av ditt system. Även om detta inaktiverar Autorun-funktionen helt kommer Autoplay-funktionen att fortsätta att dyka upp, men den kommer att utesluta de potentiellt farliga Autorun. inf-alternativen. Du måste komma ihåg att dessa förebyggande säkerhetsåtgärder inte utrotar potentiella infektioner med skadlig programvara. Vi rekommenderar strikt försiktighet när du öppnar/exekverar/klickar på okända filer!

Viktigt att tänka på

Den nedladdade filen måste sparas med filnamnstillägget .reg för att fungera korrekt. Om du inte får upp dialogrutan Registereditor genom att dubbelklicka på filen högerklickar du på filikonen, väljer Egenskaper och redigerar filnamnet på fliken Allmänt för att säkerställa att de fyra sista strängarna i filnamnet är .reg. Bekräfta eventuella uppmaningar för att spara ändringarna.

OBSERVERA

Vi rekommenderar att du läser följande artikel för mer information om den här lösningen.

B2 - Så här återaktiverar du Autorun och Autoplay (Windows XP och Windows Vista)

Om du behöver ångra de ändringar du har gjort enligt instruktionerna i avsnitt B (ovan) högerklickar du på den här länken för att ladda ner filen ReenableAutorun.reg och upprepa instruktionerna från avsnitt B (ovan), men den här gången använder du filen ReenableAutorun.reg.

Viktigt att tänka på

Du måste starta om datorn för att ändringarna ska träda i kraft.

OBSERVERA

Förutom att hämta och installera de senaste säkerhetsuppdateringarna kan du vidta andra försiktighetsåtgärder för att minska risken för infektion. Klicka här för fler strategier för att minimera risken för en attack med skadlig kod. Om du är nätverksadministratör, Klicka här för att läsa om åtgärder du kan vidta för att minimera risken för en infektion i ditt nätverk.

Rengöringssteg (enstaka maskin)

Om du stöter på eller har stött på skadlig kod från Win32/Conficker kommer en helt uppdaterad version av en ESET-produkt (version 3.0 eller senare) att rensa bort infektionen.
Viktigt att tänka på

För att undvika att återinfektera operativsystemet måste det vara ordentligt patchat med alla länkar från avsnitt A ovan.

  1. Koppla bort den infekterade datorn från nätverket och internet.

  2. Använd en oinfekterad dator för att ladda ner respektive Windows-patchar från avsnitt A ovan. Installera alla korrigeringar.

  3. Återställ dina systemlösenord till administratörskonton med mer sofistikerade lösenord. Observera att infiltrationen kan spridas via delade mappar.

    (i.) Tryck på CTRL+ALT+DELETE och klicka sedan på Ändra lösenord...

    (ii.) Skriv in ditt gamla lösenord, skriv in ditt nya lösenord, skriv in ditt nya lösenord igen för att bekräfta det och tryck sedan på ENTER.

  4. Ladda ner ett engångsprogram från ESET (återigen med en icke-infekterad dator) som tar bort masken. Om du inte har en ESET-produkt (3.0 eller senare) installerad kan du ladda ner (med en icke-infekterad dator) och köra vår kostnadsfria fristående rensare:

  5. Ladda neroch installera den senaste versionen av din ESET-programvara.

  6. Uppdatera din virussignaturdatabas.

För att verifiera att den fristående rensaren tog bort Conficker-hotet, kör om den fristående rensaren och kör sedan en skanning med din ESET-produkt.

När du har kört ESET Standalone Cleaner rekommenderar vi att du läser följande Microsoft-artikel för information om viktiga säkerhetsuppdateringar och rekommenderade gruppändringar:

OBSERVERA

Om ESET:s fristående rensningsprogram inte helt tar bort Conficker-hotet innehåller Microsoft-artikeln ovan även instruktioner för manuell borttagning av Conficker.

För maximalt skydd mot framtida hot bör du se till att operativsystemet är uppdaterat enligt Microsofts rekommendationer och att din ESET-produkt är uppdaterad.

Viktigt att veta

Mer information om hur du skyddar dig mot Conficker-masken finns i våra blogginlägg från ESET.

Rengöringssteg (nätverk)

Använd NMap för att lokalisera infekterade maskiner

Om du misstänker att en Conficker-infektion finns på datorer i ditt nätverk kan du använda gratisverktyget NMap för att upptäcka infekterade klienter med hjälp av följande kommandon:

  • Så här skannar du ditt nätverk: nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 [målnätverk]
  • För en snabbare skanning: nmap -p139,445 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 -T4 [målnätverk]
  • För en djupgående genomsökning: nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args checkall=1,safe=1 -T4 [målnätverk]
  1. Om du inte vill hämta alla Windows-uppdateringar, men vill försäkra dig om att du åtminstone är skyddad mot Win32/Conficker-hot, kan du hämta och installera korrigeringarna(KB958644, KB957097 och KB958687) i följande Microsoft Security Bulletins på alla maskiner i ditt nätverk:
    Patchar behövs inte för Windows 7 och Server 2008

    Patcherna nedan är inte nödvändiga för Windows 7 eller Server 2008 r2, eftersom den exploatering som används av Conficker inte finns på dessa operativsystem. Microsoft Windows Server 2008 kräver dock korrigeringarna nedan.



  2. Installera och uppdatera en säkerhetslösning från ESET på alla datorer
  3. Ändra alla lösenord i nätverket eftersom Conficker kommer att använda alla lösenord som den redan har loggat eller kommit över genom brute force.

  4. Kör ESET Conficker Removal Tool på varje maskin:

  5. Ta bort alla schemalagda uppgifter som skapades av Win32/Conficker genom att använda följande kommando på klienterna:

    at /delete /yes

Om ovanstående steg inte löser problemet ska du återställa alla lösenord och sedan utföra följande steg för att identifiera vilka maskiner som fortfarande försöker sprida infektionen:

  1. Aktivera granskning av misslyckade inloggningshändelser:

      1. På dina domänkontrollanter klickar du på StartAdministrationsverktygSäkerhetspolicy för domänkontroll.

      1. Navigera till SäkerhetsinställningarLokala policyerGranskningspolicy → Granska inloggningshändelser.

      1. Se till att Granska inloggningshändelser är inställt på att registrera alla lyckade och misslyckade händelser.

  2. Övervaka säkerhetshändelseloggen på din(a) domänkontrollant(er) för händelse-ID:n 529 (om inga 529-händelser inträffar använder Win32/Conficker korrekta administrativa lösenord - dina lösenord måste därför ändras).
  3. När du tittar på egenskaperna för händelsen ser du ett "Workstation Name". Detta är den skyldige, eller en av de skyldiga, som försöker infektera andra datorer.
  4. Gå till den eller de identifierade klienterna och upprepa steg 1-5 ovan.

När du har slutfört ovanstående steg för rengöringssteg (nätverk) bör alla administrativa lösenord ändras igen för att säkerställa att Conficker inte har något av dessa lösenord. Om Conficker fortfarande visar hot efter att alla maskiner har patchats, finns det antingen en opatchad maskin kvar eller så är ESET inte installerat och uppdaterat på en maskin.

Need Assistance in North America?

If you are a North American ESET customer and need assistance, view product documentation or visit helpus.eset.com to chat with a live technician.

Uppdaterades senast: 2026 njuk 11

Mer resurser

Användarguider

ESET forum

YouTube-videor
ESET Status Portal ESET Technical Support

Befintlig kund?